Dass die Installation des NAM 3 nicht ganz einfach ist, wird schon beim Blick auf die Downloads deutlich, die Novell zur Evaluation anbietet. Die Evaluationsversion ist zeitlich übrigens bis zum Ende April 2007 beschränkt. Allerdings kommt erfahrungsgemäß später auch eine 90-Tage-Testversion heraus, sodass man das Produkt auch später noch gut evaluieren können sollte.
In diesem Artikel zeigen wir Ihnen, welche grundlegenden Anforderungen der NAM 3 an Ihre Umgebung stellt.
Überblick Die verschiedenen Versionen
Es gibt insgesamt derzeit sechs verfügbare Downloads:
-
AM_30_IdentityServer.iso: Diese CD enthält den Identity-Server, die Access Manager Administration Console und die SSL-VPN-Komponenten. Außerdem ist das für die interne Verwaltung erforderliche eDirectory – das nach außen nicht sichtbar ist – und Novell Audit enthalten.
-
AM_30_IdentityServer.tar.gz: Dabei handelt es sich im Kern um das gleiche Produkt, in diesem Fall aber eben nicht als .iso-Datei. In beiden Fällen geht es um eine Lösung für den SuSE Linux Enterprise Server (SLES).
-
AM_30_NetWare_AccessGateway.iso: Das NetWare Access-Gateway in der NetWare-Version als Soft Appliance.
-
AM_30_Linux_AccessGateway.iso: Die Linux-Variante, die auch das SSL-VPN beinhaltet.
-
AM_30_IdentityServerAgents_Windows.exe: Diese Datei enthält die Application Server Agents für Windows.
-
AM_30_ApplicationServerAgents_Linux.tar.gz: Die Linux-Variante der Application Server Agents, bei der auch der Dateiname – im Gegensatz zur Windows-Version – korrekt gewählt wurde.
Die Struktur der Access Manager-Umgebung
Der einfachste Ansatz der Installation ist die Einrichtung des Produkts auf zwei Servern. Dabei werden die Administrationskonsole und der Identity-Server auf einer Maschine eingerichtet. Das Access-Gateway wird, gegebenenfalls mit weiteren Komponenten, auf einem anderen Rechner installiert. Das ist allerdings nur die minimale Variante. In der Regel wird eine etwas komplexere Struktur mit mindestens vier Servern gewählt (Bild 1).
Falls Cluster eingesetzt werden, steigt die Zahl der Server entsprechend. Die Server haben folgende Funktion:
-
Auf Server 1 wird die Administrationskonsole installiert. Darüber erfolgt die Verwaltung der Umgebung.
-
Server 2 fungiert als Identity-Server. Da der Server in der Regel die Authentifizierungsanforderungen und andere Anfragen für Attribute nur weiterleitet, kommen meist sogar noch mehr Server zum Einsatz, soweit man diese (ohnehin vorhandenen) Systeme dazuzählen möchte.
-
Der dritte Server ist das Access-Gateway. Es kann sowohl auf NetWare- als auch Linux-Basis installiert werden.
-
Schließlich kommt noch der SSL-VPN-Server für Zugriffe hinzu, die nicht über HTTP laufen, aber dennoch von der Access Manager-Infrastruktur bearbeitet werden sollen.
Da alle Komponenten untereinander mit Federation-Mechanismen arbeiten, ist eine solche verteilte Struktur unproblematisch. Aus Gründen der Sicherheit und Lastverteilung ist sie aber auf jeden Fall empfehlenswert. So sind die Server 3 und 4, also Access-Gateway und SSL VPN, ja eher „Edge“-Komponenten, auf die per se von außen zugegriffen werden soll, während die beiden anderen Server definitiv interne Systeme sind.
Systemanforderungen
Die generelle Basis für alle Komponenten ist der SLES 9 mit Support Pack 3. Alle Server müssen über eine statische IP-Adresse verfügen. Ansonsten können die Komponenten des NAM 3 nicht geladen werden.
Die administrative Konsole des NAM 3 kann, auch wenn sie auf dem iManager basiert, nur auf dem SLES 9 mit Support Pack 3 oder höher eingerichtet werden. Novell gibt außerdem an, dass das System über mindestens 1 GByte Hauptspeicher und 100 GByte Plattenplatz verfügen muss. Diese relativ hohen Anforderungen resultieren daraus, dass auf diesem System auch eine eDirectory-Instanz eingerichtet wird. Die administrative Konsole basiert ja auf dem iManager, der das eDirectory benötigt.
Entsprechend müssen einige Pakete deinstalliert werden. Dazu gehören OpenLDAP und andere eDirectory-Installationen ebenso wie eventuell bereits vorhandene iManager-Pakete. Installiert werden müssen dagegen drei andere Pakete:
-
gettext
-
python
-
compat
Diese drei Module werden auch bei anderenKomponenten benötigt. Der Identity-Server stellt noch etwas höhere Anforderungen bezüglich des Hauptspeichers. Novell empfiehlt hier 2 GB und nennt 1 GB als Minimum.
Das Access-Gateway
Das Access-Gateway ist sowohl als NetWarewie auch als Windows-Version verfügbar. Es muss auf einem dedizierten Server installiert werden, weil die Festplatte bei der Installation gelöscht wird. Novell nennt hier 20 GB als minimalen Plattenplatz und 2 GB als Untergrenze für den Hauptspeicher, wobei 3 GB empfohlen werden.
Ein wichtiger Aspekt bei der NetWare-Version ist, dass Prozessoren mit Hyper-Threading-Technologie so konfiguriert werden müssen, dass diese Funktion deaktiviert ist. Der SSL-VPN-Server kann schließlich sowohl als Teil des Access-Gateways in der Linux-Version als auch separat installiert werden. Dieser Rechner benötigt zwei getrennte Netzwerkadapter, weil er ja den Datenverkehr als Gateway aus einem externen Netzwerk in das interne Netzwerk weiterleiten muss.
Für diesen Server werden sowohl Java als auch Tomcat benötigt. Für den SSLVPN-Server wurden auch Clients für Windows, Linux und den Apple Macintosh bereitgestellt, die auf einigermaßen aktuellen Betriebssystemversionen aber keine Probleme machen sollten.
Zusätzliche Anforderungen
Neben den eigentlichen Access Manager-Komponenten werden noch weitere Systeme benötigt. Zwingend erforderlich sind:
-
Ein Server mit einem LDAP-Verzeichnisdienst, das vom NAM 3 unterstützt wird, z.B. das Novell eDirectory ab der Version 8.7, den Sun ONE Directory Server oder das Microsoft Active Directory. Auf Letzterem werden die Benutzer verwaltet, für die eine Authentifizierung erfolgen soll.
-
Falls sich die Benutzer aktuell in mehreren Verzeichnissen befinden, ist außerdem eine Lösung erforderlich, mit der eine Integration dieser Identitätsdaten erfolgt. Ein Ansatz ist die Nutzung des Novell Identity Manager. Denkbar ist aber auch der Einsatz einer Virtual Directory-Lösung.
-
Webserver mit entsprechendem Content oder Anwendungen, die geschützt werden müssen.
-
Clients mit einem Browser. Für den Zugriff auf die administrative Konsole empfiehlt Novell den Internet Explorer ab Service Pack 1 oder Mozilla Firefox ab der Version 1.5.
-
Ein DNS-Server für die Namensauflösung.
-
Ein NTP-Server (Network Time Protocol), über den die Zeitsynchronisation erfolgt. Diese Komponente ist von zentraler Bedeutung für das Funktionieren der Infrastruktur, da die Federation-Standards eine relativ genaue Zeitsynchronisation erfordern. Zu große Abweichungen führen dazu, dass die Authentifizierung und der Ressourcenzugriff nicht funktionieren.
In Produktivumgebungen ist außerdem eine Lösung für das Network Load Balancing empfehlenswert, um die Last auf mehrere Systeme verteilen zu können.
Fazit: Konzeptionelle Überlegungen
Um den Aufwand für den Aufbau einer Test-Infrastruktur gering zu halten, sollte man sich überlegen, dort mit nur zwei Servern zu arbeiten. Ein System würde die administrative Konsole und den Identity-Server, das andere – auf Linux-Basis – das Access-Gateway und (sofern überhaupt benötigt) den SSL-VPN-Server beherbergen.
Zusätzlich wird ein Clientsystem und ein Backend-Server mit Webanwendungen benötigt – im Zweifelsfall kann man sich für Letzteres mit einem OES-Server mit seinen verschiedenen Webanwendungen behelfen, die ohnehin vorhanden sind.
In Produktionsumgebungen sollte man dagegen von Beginn an Cluster einplanen, um eine ausreichende Verfügbarkeit und Skalierbarkeit der Umgebung sicherzustellen. (mja)